Zarządzanie ryzykiem IT

Podobne dokumenty
Audyt systemów informatycznych w świetle standardów ISACA

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Rozganianie czarnych chmur bezpieczeństwo cloud computing z perspektywy audytora. Jakub Syta, CISA, CISSP IMMUSEC Sp. z o.o.

Co to znaczy być liderem?

Szanse i zagrożenia płynące z nowoczesnych metod świadczenia usług informatycznych (outsourcing, offshoring, SOA, cloud computing) w bankowości

ZAPROSZENIE DO SKŁADANIA OFERT

Bezpieczeństwo dziś i jutro Security InsideOut

Centrum zarządzania bezpieczeństwem i ciągłością działania organizacji

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Zarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Szkolenie Wdrożenie Systemu Zarządzania Bezpieczeństwem Danych Osobowych ODO-02

Szkolenie Audytor wewnętrzny bezpieczeństwa informacji i ciągłości działania AW-01

DOKUMENTY I PROGRAMY SKŁADAJĄCE SIĘ NA SYSTEM KONTROLI ZARZADCZEJ W

Szkolenie System Zarządzania Bezpieczeństwem Informacji (SZBI): Wymagania normy ISO 27001:2013 aspekty związane z wdrażaniem SZBI W-01

OGÓLNE ZASADY POSTĘPOWANIA OFERTOWEGO 1. W szczególnie uzasadnionych przypadkach Zamawiający może w każdym czasie, przed upływem terminu składania

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Monitorowanie systemów IT

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC dokumentacja ISO/IEC 27003:2010

Kwestionariusz samooceny kontroli zarządczej

Szkolenie Audytor Wewnętrzny Bezpieczeństwa Danych Osobowych ODO-04

Zarządzanie ryzykiem w bezpieczeostwie IT

Nie o narzędziach a o rezultatach. czyli skuteczny sposób dokonywania uzgodnień pomiędzy biznesem i IT. Władysławowo, 6 października 2011 r.

Promotor: dr inż. Krzysztof Różanowski

Powiatowy Urząd Pracy Rybnik ul. Jankowicka 1 tel. 32/ , , fax

Procedura zarządzania ryzykiem w Sądzie Okręgowym w Białymstoku

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Audyt środowiska sieciowego na przykładzie procedur ISACA

Jak uzyskać zgodność z RODO. Kodeks dobrych praktyk

Wykaz osób w postępowaniu o udzielenie zamówienia publicznego nr 32-CPI-WZP-2244/13. Podstawa do dysponowania osobą

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

CSA STAR czy można ufać dostawcy

Nowe zagrożenia skuteczna odpowiedź (HP ArcSight)

ISO w Banku Spółdzielczym - od decyzji do realizacji

Szkolenie Administrator Bezpieczeństwa Informacji

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

Zarządzanie bezpieczeństwem w Banku Spółdzielczym. Aleksander P. Czarnowski AVET Information and Network Security Sp. z o.o.

Launch. przygotowanie i wprowadzanie nowych produktów na rynek

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

Świadomy Podatnik projekt Rady Podatkowej PKPP Lewiatan.

Szkolenie otwarte 2016 r.

S Y S T E M K O N T R O L I Z A R Z Ą D C Z E J W U NI WE RSYTECIE JANA KO CHANOWS KIE GO W KIE LCACH

drogowej? Marian Tracz, Stanisław Gaca Politechnika Krakowska

Marcin Fronczak Prowadzi szkolenia z zakresu bezpieczeństwa chmur m.in. przygotowujące do egzaminu Certified Cloud Security Knowledge (CCSK).

Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej

NOWA ERA W OCHRONIE DANYCH OSOBOWYCH WDROŻENIE GDPR/RODO W BRANŻY FARMACEUTYCZNEJ warsztaty

BEZPIECZEŃSTWO W DOBIE RODO Czy zarządzanie oprogramowaniem uchroni nas przed wyciekiem danych?

Welcome. to Space4GDPR. Platforma Space4GDPR jest narzędziem dedykowanym. do sprawnego zarządzania ochroną danych osobowych

Bezpieczeństwo danych w sieciach elektroenergetycznych

Zarządzanie ryzykiem w bezpieczeństwie informacji

Sprawdzenie systemu ochrony danych

Szkolenie Ocena ryzyka w Bezpieczeństwie Danych Osobowych ODO-03

Application Security Verification Standard. Wojciech Dworakowski, SecuRing

Kryteria oceny Systemu Kontroli Zarządczej

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

HARMONOGRAM SZKOLEŃ OTWARTYCH 2019

Formuła realizacji przez ABI sprawdzeń w ramach Systemu Zarządzania Bezpieczeństwem Informacji w Orange Polska S.A.

KONTROLA ZARZĄDCZA. Ustawa z dnia 17 grudnia 2004 r. o odpowiedzialności za naruszenie dyscypliny finansów publicznych (Dz. U. z 2013 r. poz.

Bezpieczeństwo IT w środowisku uczelni

1.5. ZESPÓŁ DS. SYSTEMU KONTROLI ZARZĄDCZEJ

Informatyka w kontroli i audycie

ZARZĄDZENIE Nr 132/12 BURMISTRZA PASŁĘKA z dnia 28 grudnia 2012 roku

Inteligentna analiza danych operacyjnych

Kontrola zarządcza w jednostkach samorządu terytorialnego z perspektywy Ministerstwa Finansów

BEHAVIOR BASED SAFETY BBS (BEHAWIORALNE ZARZĄDZANIE BEZPIECZEŃSTWEM)

P O L I T Y K A Z A R Z Ą D Z A N I A R Y Z Y K I E M W UNIWERSYTECIE JANA K O CH ANOWSKIEGO W KIELCACH

Robert Meller, Nowoczesny audyt wewnętrzny

Opis systemu kontroli wewnętrznej (SKW) funkcjonującego w ING Banku Hipotecznym S.A.

PROJEKTY INWESTYCYJNE

Zabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Opis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A.

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

Tomasz Zawicki CISSP Passus SA

Procesowa specyfikacja systemów IT

Zarządzanie relacjami z dostawcami

Ochrona biznesu w cyfrowej transformacji

BAKER TILLY POLAND CONSULTING

Bezpieczeństwo systemów SCADA oraz AMI

PRAWNE ASPEKTY BADANIA ZDARZEŃ LOTNICZYCH PROFILAKTYKA W ZAKRESIE BEZPIECZEŃSTWA

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

CTPARTNERS W LICZBACH ~100% 4,9 >500. kompleksowe obszary zarządzania IT w ofercie. osób przeszkolonych z zakresu IT

Inspektor Ochrony Danych w podmiotach publicznych

Prelegent : Krzysztof Struk Stanowisko: Analityk

Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe

Polityka kontroli zarządczej w Bibliotece Publicznej im. Jana Pawła II w Dzielnicy Rembertów m.st. Warszawy

ZESPÓŁ SZKÓŁ TECHNICZNYCH we Włocławku, ul. Ogniowa 2 PROCEDURA ALARMOWA PROCEDURA POSTĘPOWANIA W PRZYPADKU NARUSZENIA DANYCH OSOBOWYCH

ZARZĄDZENIE Nr 33/14 PROKURATORA GENERALNEGO

siedziba POZNAŃ tel. (061) tel. kom fax (061)

CTPARTNERS W LICZBACH ~100% 4,9 >500. kompleksowe obszary zarządzania IT w ofercie. osób przeszkolonych z zakresu IT

Audyty zgodności z Rekomendacją D w Bankach Spółdzielczych

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego

Cyberbezpieczeństwo w Obiektach Przemysłowych na Przykładzie Instalacji Nuklearnych. Monika Adamczyk III FBST

CZĘŚĆ I. PODSTAWY WSPÓŁCZESNEGO AUDYTU WEWNĘTRZNEGO str. 23

Z A R Z Ą D Z E N I E Nr 3/2011

Załącznik 5 Ankieta dla podmiotu przetwarzającego

Transkrypt:

Komunikacja kluczem do skutecznego zarządzania ryzykiem Jakub Syta, CISA, CISSP Warszawa, 6 lipca 2010 1 Zarządzanie ryzykiem IT Zarządzanie tożsamością Bezpieczeństwo informacji Ciągłość działania Przeciwdziałanie wyciekom informacji Ochrona fizyczna Ochrona baz danych Przeciwdziałanie defraudacjom Audyty Zarządzanie incydentami 2 1

Rodzaje ryzyka TheRiskIT Framework, ISACA 2009 3 Zarządzanie ryzykiem IT TheRiskIT Framework, ISACA 2009 4 2

Typowe problemy działów bezpieczeństwa Braki kadrowe w działach bezpieczeństwa Brak pieniędzy na bezpieczeństwo Zła współpraca z pracownikami działów biznesowych Brak zrozumienia dla zagadnień bezpieczeństwa i tym samym inne priorytety działów biznesowych 5 Rozwiązanie zmiana zachowań pracowników ISACA, Security Awareness Best Practices to Secure Your Enterprise, 2005 6 3

Dlaczego? Pracownicy na co dzień korzystająz rozwiązań dostarczanych przez IT Znają całe procesy więc widzą IT w szerszym kontekście Są wszędzie, gdzie przetwarzane są informacje Często są naprawdę chętni do pomocy 7 Cel strategiczny Zapewnić by wszyscy pracownicy, na co dzień: przestrzegali zasad bezpieczeństwa rozumieli je aktywnie uczestniczyli w minimalizacji ryzyk IT 8 4

Jak to osiągnąć? Komunikacja (i idące za nią czyny) Rola komunikacji Zawartość Powiedz zapomnę Stała obecność Pokaż zapamiętam Różnorodność form Rzeczywiste przykłady Zaangażuj-zrozumiem Kultura organizacyjna Kultura sprawiedliwości Nauka na błędach 9 Rola komunikacji: Komunikacja Dostarczać pracownikom wiedzyz zakresu zarządzania ryzykiem IT: Co? Jak? Dlaczego? przedstawianej biznesowym językiem 10 5

Zawartość TheRiskIT Framework, ISACA 2009 11 Akcje uświadamiające Stała obecność Umiejscowienie zasad bezpieczeństwa w procedurach operacyjnych Łatwy dostęp do niezbędnej dokumentacji Testy bezpieczeństwa Reagowanie na zgłaszane incydenty 12 6

Różnorodność form Krótkie e-maile Intranet Gazetka zakładowa Plakaty Filmy Szkolenia Keep I t Straight & Simple Podstawowa zasada: krótko i kolorowo 13 Realne scenariusze ryzyka TheRiskIT Framework, ISACA 2009 14 7

Kultura organizacyjna TheRiskIT Framework, ISACA 2009 15 Kultura sprawiedliwości Prof. James Reason zauważył, że ludzkie błędy są w znacznej mierze konsekwencją a nie przyczyną. Czynniki organizacyjne kształtują zachowania pracowników i dlatego głównym celem analizy incydentów powinno być zrozumienie kompletnego kontekstu błędu, nie tylko skoncentrowanie się na szukaniu winnych Kultura sprawiedliwości polega na dogłębnej analizie incydentówbez koncentrowania się na konkretnym pracowniku oraz wyciąganiu konsekwencji wyłącznie w stosunku do osób, które celowo zachowały się niewłaściwie oraz tych, których zachowanie cechowało się wyjątkową bezmyślnością. Reason J. Human Error, 1990 16 8

Nauka na błędach Nauka dotyczy widzenia porażek jako części systemu Nauka powinna prowadzić do zabezpieczeń, które zapewnią, że wyeliminowane zostaną czynniki generujące błędy, tak by nie powtórzyły się one w przyszłości Nauka powinna skutkować zwiększeniem przepływu informacji dotyczącej bezpieczeństwa Nauka polega na ciągłym doskonaleniu Reason J. Human Error, 1990 17 Zalety Mniejsze opory podczas przeprowadzanych weryfikacji: Samoocena Audyt wewnętrzny Audyt zewnętrzny Testy (ciągłości działania, penetracyjne, czystego biurka ) Szybsza identyfikacja potencjalnie niebezpiecznych miejsc (proaktywność) Sprawniejsze zarządzanie incydentami 18 9

Kontakt: e-mail: jsyta@immusec.com IMMUSEC Sp. z o.o. Knowledge Village ul. Wiertnicza 141 02-952 Warszawa-Wilanów Tel. +48 22 3797470 Fax. +48 22 3797479 email: biuro@immusec.com 19 10

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres